本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為您的Lightsail負載平衡器設定 TLS 安全政策
<a name="amazon-lightsail-configure-load-balancer-tls-security-policy"></a>

在 Amazon Lightsail 負載平衡器上啟用 HTTPS 後，您就可以為加密連線設定 TLS 安全政策。本指南提供安全政策的相關資訊，協助您在 Lightsail 負載平衡器上完成設定，並了解負載平衡器安全政策的更新程序。如需負載平衡器的詳細資訊，請參閱[負載平衡器](understanding-lightsail-load-balancers.md)。

## 安全政策概觀
<a name="load-balancer-security-policies-overview"></a>

Lightsail 負載平衡器使用 Secure Sockets Layer (SSL) 交涉組態 (稱為安全政策)，在用戶端與負載平衡器之間交涉 SSL 連線。安全政策為通訊協定與加密的組合。通訊協定會在用戶端和伺服器之間建立安全連線，並確保用戶端和負載平衡器之間傳遞的所有資料都是私有的。密碼是一種加密演算法，使用加密金鑰來建立編碼的訊息。通訊協定使用多個密碼來加密網際網路上的資料。在連線交涉程序期間，用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。預設情況下，系統會為安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。Lightsail 負載平衡器並不針對用戶端或目標連線支援 SSL 交涉機制。

您在 Lightsail 負載平衡器上啟用 HTTPS 後，系統便會在預設的情形下設定 `TLS-2016-08` 安全政策。您可以根據需求設定其他安全政策，如本指南下文所述。您可以選擇僅適用於前端連線的安全政策。後端連線會一律使用 `TLS-2016-08` 安全政策。Lightsail 負載平衡器不支援自訂安全政策。

## 支援的安全政策和通訊協定
<a name="load-balancer-supported-policies"></a>

Lightsail 負載平衡器可設定以下安全政策和通訊協定：

![支援的 TLS 安全政策](http://docs.aws.amazon.com/zh_tw/lightsail/latest/userguide/images/amazon-lighstail-load-balancer-tls-protocols.png)


## 完成先決條件
<a name="configure-load-balancer-security-policy-prerequisites"></a>

請先完成事前準備 (若尚未完成)：
+ 建立 負載平衡器，並將其與執行個體連接。如需詳細資訊，請參閱[建立負載平衡器並將執行個體與其附接](create-lightsail-load-balancer-and-attach-lightsail-instances.md)。
+ 建立 SSL/TLS 憑證，並將其連接到您的負載平衡器，以啟用 HTTPS。如需詳細資訊，請參閱[建立 Lightsail 負載平衡器的 SSL/TLS 憑證](create-tls-ssl-certificate-and-attach-to-lightsail-load-balancer-https.md)。如需憑證的詳細資訊，請參閱 [SSL/TLS 憑證](understanding-tls-ssl-certificates-in-lightsail-https.md)。

## 使用 Lightsail 主控台設定安全政策
<a name="configure-load-balancer-security-policy-console"></a>

完成下列程序，透過 Lightsail 主控台設定安全政策。

1. 登入 [Lightsail 主控台](https://lightsail.aws.amazon.com/)。

1. 在左側導覽窗格中，選擇**聯網**。

1. 選擇您要設定 TLS 安全政策的負載平衡器名稱。

1. 選擇 **Inbound traffic** (傳入流量) 索引標籤。

1. 在頁面的 **TLS security protocols** (TLS 安全通訊協定) 區段底下，選擇 **Change protocols** (變更通訊協定)。

1. 從 **Supported protocols** (支援的通訊協定) 下拉式選單中選擇下列任一選項：
   + **TLS 1.2 版** – 此選項最安全，但舊版瀏覽器可能無法連線。
   + **TLS 1.0、1.1 和 1.2 版** – 此選項與瀏覽器的相容程度最高。

1. 選擇 **Save** (儲存)，將您選取的通訊協定套用至負載平衡器。

   您所做的變更需要一些時間才會生效。

## 使用 設定安全政策 AWS CLI
<a name="configure-load-balancer-security-policy-cli"></a>

完成下列程序，使用 AWS Command Line Interface (AWS CLI) 設定安全政策。您可以使用 `update-load-balancer-attribute` 命令來執行此動作。如需詳細資訊，請參閱《AWS CLI 命令參考》**中的 [update-load-balancer-attribute](https://docs.aws.amazon.com/cli/latest/reference/lightsail/update-load-balancer-attribute.html)。

**注意**  
您必須安裝 AWS CLI 並將其設定為 ，Lightsail才能繼續此程序。如需詳細資訊，請參閱[設定 AWS CLI 以使用 Lightsail](lightsail-how-to-set-up-and-configure-aws-cli.md)。

1. 開啟命令提示或終端機視窗。

1. 輸入下列命令，變更負載平衡器的 TLS 安全政策。

   ```
   aws lightsail update-load-balancer-attribute --load-balancer-name {{LoadBalancerName}} --attribute-name TlsPolicyName --attribute-value {{AttributeValue}}
   ```

   將命令中的以下範例文字更改為自訂文字：
   + 將 {{LoadBalancerName}} 變更為您要設定 TLS 安全政策的負載平衡器名稱。
   + 將 {{AttributeValue}} 更改為 `TLS-2016-08` 或 `TLS-FS-1-2-Res-2019-08` 安全政策。
**注意**  
命令中的 `TlsPolicyName` 屬性代表您希望編輯 TLS 安全政策，在負載平衡器上完成設定。

   範例：

   ```
   aws lightsail update-load-balancer-attribute --load-balancer-name {{MyLoadBalancer}} --attribute-name TlsPolicyName --attribute-value {{TLS-2016-08}}
   ```

   您所做的變更需要一些時間才會生效。